本頁說明如何設定及使用 Amazon Web Services (AWS) 的安全漏洞評估服務。
如要啟用 AWS 的安全漏洞評估功能,您需要在 AWS 平台建立 AWS IAM 角色,在 Security Command Center 中啟用 AWS 的安全漏洞評估服務,然後在 AWS 上部署 CloudFormation 範本。
事前準備
如要啟用 AWS 服務的 Vulnerability Assessment,您需要特定 IAM 權限,且 Security Command Center 必須連線至 AWS。
角色和權限
如要完成 AWS 安全漏洞評估服務的設定,您必須在Google Cloud 和 AWS 中獲得具備必要權限的角色。
Google Cloud 個角色
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往「IAM」頁面 - 選取機構。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取角色。
- 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
- 按一下 [Save]。
- 使用 AWS 管理員使用者帳戶,前往 AWS 管理主控台的「IAM」角色頁面。
- 在「Service or Use Case」(服務或用途) 選單中,選取「lambda」。
- 新增下列權限政策:
AmazonSSMManagedInstanceCoreAWSLambdaBasicExecutionRoleAWSLambdaVPCAccessExecutionRole
- 依序點選「Add Permission」>「Create Inline policy」,建立新的權限政策:
- 開啟下列頁面並複製政策: AWS 和 VM 威脅偵測安全漏洞評估的角色政策。
- 在 JSON 編輯器中貼上政策。
- 指定政策名稱。
- 儲存政策。
- 開啟「信任關係」分頁。
貼入下列 JSON 物件,並新增至任何現有的陳述式陣列:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }儲存角色。
前往 Security Command Center 的「風險總覽」頁面:
選取要啟用 AWS 安全漏洞評估功能的機構。
按一下「設定」。
在「弱點評估」資訊卡中,按一下「管理設定」。「弱點評估」頁面隨即開啟。
選取「Amazon Web Services」分頁標籤。
在「Service enablement」(啟用服務) 區段中,將「Status」(狀態) 欄位變更為「Enable」(啟用)。
在「AWS 連接器」部分,確認狀態顯示「已新增 AWS 連接器」。如果狀態顯示「未新增任何 AWS 連接器」,請按一下「新增 AWS 連接器」。請先完成「連線至 AWS 以收集設定和資源資料」中的步驟,再進行下一個步驟。
設定 AWS 運算資源和儲存空間的掃描設定。如要變更預設設定,請按一下「編輯掃描設定」。如要瞭解各個選項,請參閱「自訂 AWS 運算資源和儲存空間的掃描設定」。
如果您已為 AWS 啟用 VM 威脅偵測,並部署 CloudFormation 範本做為該功能的一部分,請略過此步驟。在「掃描設定」部分,按一下「下載 CloudFormation 範本」。系統會將 JSON 範本下載至您的工作站。您必須在每個需要掃描安全漏洞的 AWS 帳戶中部署範本。
- 如果選取「依 ID 排除執行個體」,請按一下「新增 AWS EC2 執行個體」,然後輸入值,手動輸入每個執行個體 ID。
-
如果選取「複製及貼上執行個體 ID 清單,以 JSON 格式排除」,請執行下列其中一項操作:
-
輸入執行個體 ID 陣列。例如:
[ "instance-id-1", "instance-id-2" ]
-
上傳含有執行個體 ID 清單的檔案。檔案內容應為執行個體 ID 陣列,例如:
[ "instance-id-1", "instance-id-2" ]
-
- 前往 AWS 管理主控台的「AWS CloudFormation Template」(AWS CloudFormation 範本) 頁面。
- 按一下「堆疊」>「使用新資源 (標準)」。
- 在「建立堆疊」頁面中,選取「選擇現有範本」,然後「上傳範本檔案」,即可上傳 CloudFormation 範本。
- 上傳完成後,請輸入不重複的堆疊名稱。請勿修改範本中的任何其他參數。
- 選取「指定堆疊詳細資料」。「設定堆疊選項」頁面隨即開啟。
- 在「Permissions」(權限) 下方,選取您先前建立的 AWS 角色。
- 如果系統出現提示,請勾選方塊表示確認。
- 按一下「提交」即可部署範本。堆疊需要幾分鐘才會開始執行。
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「EC2 弱點評估」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁標籤。
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 機構。
- 在「匯總」部分中,按一下展開「來源顯示名稱」子部分。
- 選取「EC2 Vulnerability Assessment」(EC2 安全漏洞評估)。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
- 確認 AWS 連接器設定正確無誤。
- 確認 CloudFormation 範本堆疊已完整部署。在 AWS 帳戶中的狀態應為
CREATION_COMPLETE。
AWS 角色
在 AWS 中,AWS 管理使用者必須建立啟用掃描所需的 AWS 帳戶。
如要在 AWS 中建立安全漏洞評估角色,請按照下列步驟操作:
稍後在 AWS 安裝 CloudFormation 範本時,您會指派這個角色。
收集要掃描的 AWS 資源相關資訊
在啟用 AWS 漏洞評估的步驟中,您可以自訂設定,掃描特定 AWS 區域、識別 AWS 資源的特定標記,以及特定硬碟 (HDD) 磁碟區 (SC1 和 ST1)。
建議您先備妥這些資訊,再設定 Vulnerability Assessment for AWS。
確認 Security Command Center 已連線至 AWS
AWS 安全漏洞評估服務需要存取 Cloud Asset Inventory 維護的 AWS 資源清單,前提是 Security Command Center 已連線至 AWS。
如果尚未建立連線,啟用 AWS 安全漏洞評估服務時,系統會要求您設定連線。
如要設定連線,請參閱「連線至 AWS 以收集設定和資源資料」。
在 Security Command Center 中啟用 AWS 的安全漏洞評估功能
您必須在機構層級啟用 AWS 的安全漏洞評估功能。 Google Cloud
自訂 AWS 運算資源和儲存空間的掃描設定
本節說明可用的選項,用於自訂 AWS 資源的掃描作業。編輯 Vulnerability Assessment for AWS 掃描時,這些自訂選項位於「AWS 運算資源和儲存空間的掃描設定」部分。
您最多可定義 50 個 AWS 標記和 Amazon EC2 執行個體 ID。掃描設定變更不會影響 AWS CloudFormation 範本。您不需要重新部署範本。 如果標記或例項 ID 值不正確 (例如值有錯字),且指定的資源不存在,掃描時就會忽略該值。| 選項 | 說明 |
|---|---|
| 掃描間隔 | 輸入每次掃描之間的小時數。有效值範圍為 6 到 24。預設值為 6。掃描頻率越高,資源用量就可能增加,帳單費用也可能隨之增加。 |
| AWS 區域 |
選擇要納入安全漏洞評估掃描範圍的區域子集。 系統只會掃描所選區域的執行個體。選取一或多個要掃描的 AWS 區域。 如果您在 Amazon Web Services (AWS) 連接器中設定特定區域,請確認這裡選取的區域與 設定 AWS 連線時定義的區域相同或為其子集。 |
| AWS 標記 | 指定用於識別掃描執行個體子集的標記。系統只會掃描具有這些標記的執行個體。為每個代碼輸入鍵/值組合。如果指定無效標記,系統會忽略該標記。最多可指定 50 個標記。如要進一步瞭解標記,請參閱「 為 Amazon EC2 資源加上標記」和「 為 Amazon EC2 資源新增及移除標記」。 |
| 按照執行個體 ID 排除 |
指定
EC2 執行個體 ID,從每次掃描中排除 EC2 執行個體。
最多可指定 50 個執行個體 ID。如果指定無效值,系統會忽略這些值。如果您定義多個執行個體 ID,系統會使用 |
| 掃描 SC1 執行個體 | 選取「掃描 SC1 執行個體」,即可納入這些執行個體。系統預設會排除 SC1 執行個體。 進一步瞭解 SC1 執行個體。 |
| 掃描 ST1 執行個體 | 選取「掃描 ST1 執行個體」,將這些執行個體納入掃描範圍。系統預設會排除 ST1 執行個體。 進一步瞭解 ST1 執行個體。 |
| 掃描 Elastic Container Registry (ECR) | 選取「掃描 Elastic Container Registry 執行個體」,掃描 ECR 中儲存的容器映像檔及其安裝的套件。 進一步瞭解 Elastic Container Registry。 |
部署 AWS CloudFormation 範本
請在建立 AWS 連接器至少六小時後,執行下列步驟。
如要進一步瞭解如何部署 CloudFormation 範本,請參閱 AWS 文件中的「從 CloudFormation 控制台建立堆疊」。
AWS 控制台會顯示部署狀態。如果 CloudFormation 範本無法部署,請參閱疑難排解。
掃描作業開始執行後,如果偵測到任何安全漏洞,系統會產生相關發現項目,並顯示在Google Cloud 控制台的 Security Command Center「發現項目」頁面中。
在控制台中查看發現項目
您可以在 Google Cloud 控制台中查看 AWS 安全漏洞評估結果。如要查看發現項目,您至少需要「安全中心發現項目檢視者」 (roles/securitycenter.findingsViewer) IAM 角色。
如要在 Google Cloud 控制台中查看 AWS 安全漏洞評估結果,請按照下列步驟操作:
標準或進階
Enterprise
疑難排解
如果您已啟用 Vulnerability Assessment 服務,但系統未執行掃描,請檢查下列事項: